Wat is het Darknet?
Het Darknet is een afgeschermd deel van het internet dat niet toegankelijk is via standaard browsers of zoekmachines. Het maakt gebruik van versleutelde netwerken zoals Tor of I2P, waarin gebruikers anoniem informatie kunnen delen, communiceren of data uitwisselen.
Hoewel het Darknet legitieme toepassingen kent (privacy, journalistiek), staat het vooral bekend als platform voor cybercriminaliteit, zoals het verhandelen van exploits, inloggegevens, Malware en OT-specifieke kwetsbaarheden.
🌐 Darknet vs Deep Web vs Surface Web
| Laag | Beschrijving |
|---|---|
| Surface Web | Publiek toegankelijk internet (bv. Google, Wikipedia, bedrijfswebsites) |
| Deep Web | Niet-geïndexeerde inhoud zoals intranetten, betaalmuren, e-mails, databases |
| Darknet | Anoniem netwerk binnen Deep Web, alleen via speciale software (bv. Tor, I2P, Freenet) |
🧠 Waarom is het Darknet relevant voor OT-security?
| Dreiging | Voorbeeld in OT-context |
|---|---|
| Inloggegevens van HMI of SCADA | Gelekte RDP/VPN-wachtwoorden te koop via .onion-marktplaatsen |
| Aanbieding van zero-days of exploits | Specifiek gericht op PLC-merken of ICS-protocollen |
| Ransomware-as-a-Service | Darknet biedt toegang tot kant-en-klare aanvalskits voor OT-netwerken |
| Discussies over kwetsbare OT-infrastructuur | Forums en Telegram-chats waarin toegang tot industriële systemen wordt verhandeld |
Veel aanvallen op OT-netwerken beginnen met gegevens die via het Darknet zijn uitgelekt of verhandeld.
🔎 Monitoring & Threat Intelligence
| Middel | Doel |
|---|---|
| Darknet monitoring diensten (MSSP) | Detectie van gelekte credentials, IP-adressen, firmware of configuraties |
| Threat Intelligence Platforms | Correlatie met Indicators of Compromise (IoC) van bekende dreigingen |
| Security Operations Center (SOC) | Integratie met SIEM voor waarschuwingen en meldingen |
| Anomaliedetectie | Herkenning van pogingen tot misbruik van gelekte gegevens |
✅ Best practices
- Gebruik Darknet threat feeds om te monitoren op organisatiegerelateerde lekken
- Laat regelmatig credential dumps en firmwarechecks uitvoeren via specialisten
- Gebruik 2FA, Zero Trust, Access Control en Least Privilege om schade te beperken
- Train medewerkers in Security Awareness over spear phishing met Darknet-informatie
- Documenteer procedures in je Incident Response Plan voor Darknet-gerelateerde aanvallen
🧩 Relevante aanvallen
| Incident | Darknet-component |
|---|---|
| Colonial Pipeline | Verkoop van gestolen VPN-gegevens via forums |
| Triton / Trisis | ICS-malware besproken op underground hackingkanalen |
| 3CX Supply Chain | Herkomst van malwarecode deels teruggeleid naar anonieme netwerken |
📌 Samengevat
Het Darknet is een cruciale informatiebron én dreigingsvector in OT/IT-beveiliging. Door gericht te monitoren op gelekte gegevens en cybercriminele activiteiten kun je preventief reageren op toekomstige aanvallen.